Constatant l’utilisation illicite d’un fichier recensant des informations sur les passagers des navires contrôlés, la CNIL a mis en demeure le Ministère de l’Economie, auquel les douanes sont rattachées, de se mettre en conformité.
La CNIL a reçu un signalement faisant état de l’utilisation, par un service des douanes, du fichier « SIRENE » (Système d’Information du REnseignement des Navires et Equipages »).
Les douanes utilisaient ce fichier SIRENE, (à ne pas confondre avec le répertoire SIRENE qui recense les entreprises françaises) afin de recenser, de manière quasi systématique, tous les individus contrôlés en mer ou à quai. Ce fichier contenait les données de 45 793 personnes (dont 392 mineurs).
Au cours de son enquête, la CNIL a constaté de nombreux manquements :
- Manquement relatif à la licéité du traitement et à l’absence d’analyse d’impact
La CNIL a d’abord relevé que le fichier SIRENE poursuivait une finalité de prévention, détection et d’enquête dans le cadre d’infractions pénales, or, les traitements mis en œuvre pour le compte de l’Etat pour une telle finalité doivent être prévus par une disposition législative ou réglementaire soumis à l’avis de la CNIL, ce qui n’était pas le cas en l’espèce.
De même, le traitement était, selon la CNIL, susceptible d’engendrer un risque élevé pour les droits et libertés des personnes en raison (i) du nombre de personnes concernées et surtout (ii) « d’un traitement de données de localisation à large échelle », et aurait donc dû faire l’objet d’une analyse d’impact adressée à la CNIL.
- Manquement à la distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées
La CNIL a ensuite relevé que le fichier n’opérait pas de distinction entre les catégories de personnes recensées, autrement dit qu’il n’y avait pas de distinction entre (i) les personnes soupçonnées d’une infraction, (ii) les coupables, (iii) les victimes et (iv) les tiers. Or, la loi Informatique et Libertés fait obligation, en cas de traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’opérer « une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées ». Cette absence de distinction entre les catégories de personnes constituait, selon la CNIL, un manquement à la loi Informatique et Libertés.
- Manquement relatif à l’information des personnes
La CNIL a enfin constaté que lorsque des navires étaient contrôlés, les personnes présentes faisaient régulièrement l’objet d’un fichage dans le fichier SIRENE (i) sans qu’elles connaissent l’existence dudit fichier, et, par conséquent, (ii) sans les informer. Cette absence d’information est contraire à la loi Informatique et Libertés.
Compte tenu de ces manquements, la CNIL a mis en demeure le Ministère de l’Economie de remédier aux manquements précédemment exposés dans un délai de six mois ou, « à défaut, de cesser de procéder au traitement des données ».
